2010.02.10 Microsoft - 如月
海の安全祈念日
えひめ丸の沈没事故(※米国時間で2/9)簿記の日ふとんの日 [2(ふ)10(と)ん]ニットの日 [に(2)、と(10)]蕗の薹の日 [ふ(2)きのとう(10)]キタノ記念日 漫才コンビツービートにありとの判断から [2(ツー)ビー10ト]
1998年、ツービートにありとの判断から [2(ツー)ビー10ト]W3CがXML 1.0を勧告続く
----------
Microsoft2月パッチの日
2010 年 2 月のセキュリティ情報数多すぎるので各個の脆弱性は、小野寺様のレポートを参照してください。
2010年2月10日のセキュリティ情報 (月例) 補完的な詳解が出ているのは以下の項目:
MS10-007: Additional information and recommendations for developersMS10-007(Shell)特別な細工がされたURIを処理する際に、リモートでコードが実行される可能性があります。
MS10-006 and MS10-012: SMB security bulletinsMS10-006(SMB Client)特別な細工がされたSMBサーバーに接続する事で、サービス拒否または、リモートでコードが実行される可能性があります。
SMBに関する脆弱性ですが、Webブラウザを通じて、不正なSMBサーバーへの接続を誘導することも可能であるため、インターネットにルーター等を介さずに接続しており、 SMB通信がインターネット間で可能な場合は、更に注意が必要です。
MS10-012(SMB Server)特別な細工がされた通信パケットを受信する事で、サービス拒否または、リモートでコードが実行される可能性があります。
※SMB(137-139/445) を外部(WAN)に開けている
悪い子はいねがぁ~Kernelの権限昇格問題(
[979682])も、間に合った([MS10-015](977165))のですね。Details on the New TLS Advisory[977377] Vulnerability in TLS/SSL Could Allow SpoofingTLS/SSL の脆弱性により、なりすましが行われる
トランスポート層セキュリティ (TLS) および Secure Sockets Layer(SSL) プロトコルの脆弱性が確認され、Microsoftを含む多くのベンダーの製品にも影響があります。現在、業界全体で対応方法を検討しています。
February 2010 Black Tuesday OverviewBlack が戻ってきました
Microsoft Releases February Security Bulletin
Microsoft Patch Tuesday - February 2010
Historic AdvisoriesMicrosoftでオレンジがいっぱい・・・
さて、管理者諸氏様、がんばってパッチを充てますか!
Digg in !
----------
Adobe is Lazy
Jobs氏がFlashを導入しない理由の一つとして、
Adobe Is Lazy! とコキ下ろしたわけですが・・・(Jan.30)
Flash Bug ReportAs has been pointed out by the community, there is an existing crash bug that was reported by Matthew Dempsky in the Flash Player bugbase (
JIRA FP-677:Necessary Login) in September of 2008 that still exists in the release players.あ~あ~
こうして、「ゼロデイのAdobe」の地位が不動のものになっていくのですよ・・・
Adobe screw-up leaves Flash flaw unpatched for 16 months
Adobe apologises for unpatched Flash vulnerability 
AdobeがFlash Playerの脆弱性を放置、責任者が「過ち」を認める----------
4Q 2009 Report by McAfee
McAfee Labs Quarterly Threat Report PostedSpammers piggybacked heavily on leading headlines in 2009, taking advantage of breaking news stories, global tragedies, and other timely events.
spammer共の「時事ネタへの食いつき」っぷりには脱帽ですね。
China is the Worldwide Leader in SQL-Injection Attacks
これには警戒を強める必要があります。
特に phpmyadminをインストールしているユーザは気をつけてください。
----------
Eset report warn to..
ESET 2009年 年間マルウェアランキングって・・Confickerですか?
いったいどこに潜んでいるのやら・・・
----------
ZeuS attack
VISAを騙るフィッシング(2010/2 /8)概要:
VISAを騙って偽サイトに誘導しようとするフィッシングメールが出回っています。
メールの件名:
VISA 4XXXX-XXXX-XXXX-XXXX possible fraudulent transaction
czドメインの ZeuS陥落botですね~
ZeuS系のビヘイビアは、マルウェア感染(ゾンビ化)を狙ったものが多かったのですが、今回は釣りのようです。
visa.comの偽サイト -- February 07, 2010nttkyo784201.tkyo.nt.ftth.ppp.infoweb・ne・jp ゾンビがいるいる・・
VISAをかたるメールにご用心~攻撃を仕掛けているのはボットネット配下のパソコンがなくなれば、ボットネットは自ずと崩壊する。ネットを利用するユーザー一人ひとりが、ボットに感染しないように、万が一感染しても早期に駆除してボットネットを離脱できるように、しっかりとしたウイルス対策を行っていただきたい。
至極、名言です。
----------
Samba その2
When is a 0day not a 0day? Samba symlink bad default configWhen is a 0day not a 0day? When the exploit ends up being just a poor default configuration issue.
そもそも SambaパケットをWAN側に流すようなことは無いでしょうしね
(
あるの!?)----------
言わなくて良かった・・
Black Hawk Downいや・・だってベタすぎたし・・
で、当然のことながら、再構築されると
Hacker training site backup lives after takedown by China鼬の穴を突く作業は延々と続く・・・
----------
Linus compromized Nexus
ケータイ大嫌いのLinus Torvalds(Linuxの作者): Nexus Oneだけはいいね, これなら許せる認めざるをえないが、Nexus Oneは優れものだよ。ぼくは現物も見ずにネットで携帯電話を衝動買いするタイプじゃないが、でもNexus Oneでやっとピンチでズーム(pinch-to-zoom)ができるようになったというニュースを読んだときは、よし!買うぞ!と思ったね。それに、車に乗るときにはGPSがほしいと前から思っていたんだ。Googleのナビで、ケータイもやっと使えるものになったと感じるね。
いや、ほんとに使えるよ。昨日(きのう)までのぼくではないみたいだね。ケータイなんて、誰かに連絡しなきゃならないときのために、“一応持っている”ものにすぎなかったけど、Nexus Oneは実用性が高いし、しかもルックスがいい。電話機としても使える、なんてことは、まあどうでもいいけどね。
(苦笑)
いや、しかし、携帯嫌いで有名だった Linus氏をここまで変化させるとは・・・
Linuxのリーナス・トーバルズが Nexus Oneに陥落、べた褒め----------
炉
108 rogue antivirus, fastflux, trojan domainsSources include www.malwaredomainlist.com, atlas.arbor.net, www.malwareurl.com:
a-roi .jp as AS2516(KDDI)----------
12ab34
Feb 04 Downloader Trojan "Friends say I am free" from joan@fguang.comこんな怪しい rar を解凍したりしてはいけません(笑)
※あとこんなパスワードもね!
----------
Google launched Twitter Killer?
その名は Google Buzz
Introducing Google Buzz内容は・・時間切れ・・
----------
クマー spread worldwide
2 ちゃんねるの「クマー」AA、オリンピックの公式キャラクターに ?(笑)
----------
8080
第一系統
78.41.156.236
AS6908(DATAHOP) 
85.25.152.241
AS8972(PLUSSERVER) 
91.121.96.181
AS16276(OVH Paris) 
91.121.112.227
AS16276(OVH Paris) 94.23.199.154
AS16276(OVH Paris) 第二系統
77.68.44.169
AS15418(FASTHOSTS) 78.31.107.49
AS24931(DEDIPOWER) 94.23.199.154:重複
188.40.118.68
AS24940(HETZNER) 213.251.164.84
AS16276(OVH Paris)今日はしっかり二系統に分離中
そろそろ、この計測が辛くなってきました。
また、スクリプトの方にも更に変化があったようで、どこまで勤勉なんだよ!と(不条理な)怒りを感じてしまいます(笑)
「Gumblar.8080」の改ざんコード、規則性が崩れて複数に分裂 こうなると、シグネーチャベースの「スクリプト」検出は意味をなさず、ジャンプ先をチェックするしか無くなりそうです。
※noooo_spam様より 「Gumblar.X陥落サイトのリストを差し上げましょうか?」という大変有難いオファーがありました。
本当にあり難い話なのですが、これ以上の観測をやると、自己破綻するのが目にみえていますので、お気持ちだけ感謝しておきます
m(_ _)m
※というか既に破綻寸前(笑)
もう疲れたよな人へ:
forbidden に対応した polipo で 8080系攻撃を防ぎたければとりあえず、しつこく .ru:8080 (nginx)を使っているのは変わってませんので、
^https?://([^/\.]+\.)+ru:8080/
^https?://([^/\.]+\.)+cn:8080/ (過去)
というのは有効な対策の一つです。
----------
Google Safe Browsing
| 1265745640 | B | [goog-black-hash 1.50682 update]
| 1265745602 | M | [goog-malware-hash 1.19252 update]
| 320819 | -358(321177) 微減
| 1350590 |
EoF